Нове варијације zip бомби, једном занемарене и очишћене од „прашине“, поново су постале актуелне и држе стручњаке за безбедност у приправности.
Замислите безопасну, малу zip датотеку, величине свега неколико килобајта, која се претвара у петабајте или ексабајте података, рушећи систем након што је отворите.
То је суштина zip бомбе, познате и као декомпресиона бомба или zip смрти.
Шта је тачно zip бомба?
Реч је о компресованој датотеци, која садржи вишеструке, увучене слојеве или један слој који, када се распакује, захтева много више простора него што већина рачунара може да поднесе.
Основна идеја zip бомбе је да преоптерети процесор и антивирусне програме током процеса распакивања или скенирања, омогућавајући тако потенцијално штетном софтверу да продре у систем.
Међутим, савремени антивирусни програми имају способност да анализирају zip датотеку без потребе за њеним отварањем. Када детектују више слојева компресије, означавају датотеку као zip бомбу и спречавају њено даље обрађивање.
Класичан пример је .42 zip датотека, која је компримована на само 42 килобајта. Она садржи шест нивоа компресованих података, при чему првих пет нивоа садржи по 16 датотека, а последњи ниво представља једну датотеку од 4.3 гигабајта.
Међутим, када се комплетно декомпресује, укупна величина података износи 4.5 петабајта.
Напомена: 1 петабајт (ПБ) = 1.000.000 гигабајта (ГБ) = 1.000 терабајта (ТБ).
Поређења ради, складишни капацитет мог лаптопа је свега 512 ГБ или приближно 0.5 ТБ. Највећи спољни чврсти диск који поседујем има капацитет од 1 ТБ. Дакле, већина персоналних рачунара би се технички могла срушити приликом покушаја рекурзивног отварања .42 zip датотеке. Најзанимљивије од свега је што ову датотеку можете врло лако преузети са интернета (на сопствену одговорност).
Само по себи, овакве бомбе најчешће не могу нанети штету. Међутим, оне могу бити у комбинацији са рекурзивним скриптама за распакивање, које могу отворити ове zip смрти како би се извршиле злонамерне акције.
Различите врсте zip бомби
Као и сваки малициозни софтвер, zip бомбе се развијају кроз итерације, које се разликују по ефектима и начину функционисања.
#1. Рекурзивне zip бомбе
Ове zip бомбе садрже више слојева компресије, унутар једне zip датотеке. Пример који смо претходно поменули, .42 zip, представља рекурзивну zip бомбу.
Посебна подврста рекурзивних zip бомби су zip квинови. Код њих се сложеност повећава са сваком операцијом распакивања, кроз умножавање садржаја. На тај начин, добијамо компресовану датотеку са изузетно великим бројем увучених слојева. У теорији, zip квинове је немогуће у потпуности распаковати, без обзира на доступне ресурсе.
Међутим, рекурзивне zip бомбе се сматрају застарелим, а савремени антивирусни програми су обучени да препознају њихову структуру и избегавају њихову обраду.
#2. Нерекурзивне zip бомбе
Дејвид Фајфилд, програмер који стоји иза ове нерекурзивне архиве, назива је „бољом zip бомбом“.
За разлику од рекурзивне, ова врста zip бомбе распакује све податке одједном, без проласка кроз вишеструке фазе декомпресије. То се постиже знатно већим степеном компресије од уобичајеног у zip датотекама.
Уобичајено је да zip датотеке могу компримовати датотеку око 1032 пута у односу на њену оригиналну величину. То се постиже коришћењем алгоритма компресије ДЕФЛАТЕ. Међутим, Дејвид Фајфилд је развио технику која омогућава нерекурзивним zip бомбама да се „експлодирају“ више од 28 милиона пута (1 кб ➔ 26.7 ГБ) у једном кораку отварања.
Због тога, ове zip бомбе је теже детектовати и представљају већу опасност.
Како функционишу zip бомбе?
Као што је већ поменуто, zip бомбе су безопасне док се не распакују. Опасне су само у случају да имате програм који аутоматски распакује сваку zip датотеку коју преузмете.
Такође, застарели антивирусни програм можда неће препознати структуру датотеке и може да се „изгуби“ у покушају скенирања преузете zip бомбе. У том случају, рачунарски систем би могао да се сруши.
Штавише, рекурзивна zip бомба може сакрити злонамерни софтвер дубоко унутар слојева компресије, до којих антивирусни програм неће моћи да допре приликом скенирања.
Међутим, ово важи само за рекурзивне zip бомбе.
Нерекурзивне zip бомбе директно исцрпљују системске ресурсе у једном процесу екстракције, а да их већина постојећих антивирусних програма не детектује.
Како се заштитити од zip бомби?
Најбољи начин да се заштитите је да будете пажљиви приликом коришћења интернета. За почетак, никада не преузимајте датотеке са непоузданих сајтова, поготово ако вас прегледач упозорава на потенцијалну опасност.
Исто важи и за нежељену пошту. Не отварајте прилоге уколико нисте сигурни у њихово порекло. Ако вас добављач поште, као што је Gmail, упозорава на потенцијалну претњу, покушајте да верификујете извор прилога пре него што отворите датотеку.
На пример, унесите назив приложене датотеке у претраживач као што је Google и погледајте резултате. Већина zip бомби је документована и вероватно ћете пронаћи резултате претраге који указују на исто име датотеке.
Међутим, ево листе савета који вам могу помоћи да побољшате своју безбедност на интернету.
Антивирусни програм
У време када се малициозни софтвер крије „на дохват руке“, квалитетан антивирусни програм је пола посла. Постоје бесплатни антивирусни програми, али они често користе корисника као производ.
Такође, треба користити антивирусни програм сваки пут када је ваш рачунар укључен, чак и несвесно. Зато је најбоље уложити у премиум антивирусни програм. Ови плаћени производи обично нуде напредне заштитне зидове, алате за оптимизацију система и друге корисне додатке, попут VPN-а и менаџера лозинки, за врхунску сајбер заштиту.
Међутим, ако из неког разлога не могу да вас убедим да инвестирате у плаћену верзију, ево листе бесплатних антивирусних програма за ваш рачунар.
Едукација
Антивирусни програм вас може заштитити од опасних рачунарских програма, али је углавном немоћан против социјалног инжењеринга.
У тим случајевима, жртва се превари да преузме и распакује zip бомбу, на основу тога што zip датотеке нису вируси. Многи људи падају у такве замке и на крају инсталирају малициозни софтвер на свој рачунар.
Након тога, жртва се може суочити са шпијунским софтвером, рансомвером, фишингом итд., при чему сајбер криминалци покушавају да украду личне податке или изазову финансијску штету.
У овом случају, једино решење је едукација. Сви треба да се упознају са преварама и да науче како да их препознају, као и да поделе те информације са својим окружењем.
То је то!
Zip бомбе су датотеке које могу заузети цео хард диск и много више од тога, и на тај начин изазвати пад система.
Пошто се zip бомбе не сматрају класичним малициозним софтвером, идентификација (нерекурзивних) zip бомби није увек могућа. За сада, једини начин заштите је превенција.
Превенција се постиже пажљивим коришћењем интернета, коришћењем квалитетног антивирусног програма и избегавањем замки социјалног инжењеринга.
ПС: Имамо корисну секцију вдзвдз Сецурити, где редовно додајемо занимљиве чланке о личној и пословној безбедности. Предлажем да је обележите и с времена на време прочитате све што вам се чини релевантним.